11 Gmail-filtre, der stopper phishing i din indbakke

Phishing-angreb er ikke kun et globalt problem - de rammer også hårdt i Danmark. Ifølge Center for Cybersikkerhed blev der i 2023 registreret mere end 27.000 danske phishing-forsøg, og Finanstilsynet rapporterer, at knap hver tredje dansker har modtaget en falsk e-mail, der udgav sig for at være fra banken eller offentlige myndigheder.

Gmail har et af verdens mest avancerede spam- og malwarefiltre, men intet filter er fejlfrit:

• Maskinlæring kan tage fejl - særligt når danske afsendere bruger blandet dansk/engelsk og specialtegn.
• Angribere itererer hurtigt og tilpasser ordlyd og afsenderdomæner til at ligne det seneste “sikre” mønster.
• Legitime mails ligner ofte phishing (fx trackinglinks fra webshops), og derfor lades de stå for at undgå fejlsortering.

Her kommer brugerdefinerede Gmail-filtre ind i billedet. Ved at kombinere dine egne regler med Googles basisfilter kan du:

1. Filtrere på lokale forhold - fx specifikke danske ord (“MitID udløber”) eller domæner, du ved er falske.
2. Tilføje kontekst - du kender dine kunder, partnere og medarbejdere bedre end Googles algoritme.
3. Undgå at ødelægge e-mailflowet - du kan nøjes med at sætte labels som “Mistænkelig” og arkivere i stedet for at slette, så ingenting går tabt.
4. Skræddersy handlinger - marker som “ikke vigtig”, hop over indbakken, eller videresend til en sikkerhedsadresse.

Resultatet er et ekstra lag af forsvar, som reducerer risikoen for, at den ene e-mail, der slipper gennem Googles net, når frem til den medarbejder eller familie­medlem, der klikker. Og fordi filtrene er fine-maskede og testet på din egen mailtrafik, holder du samtidig antallet af falske positiver nede.

I de næste afsnit viser vi, hvordan du forbereder din konto, opretter filterskabeloner, og - vigtigst af alt - hvilke 11 konkrete Gmail-filtre der giver mest effekt mod moderne phishing-kampagner i Danmark.

Phishing-kampagner mod danske brugere følger som regel de samme skabeloner. Jo bedre du kender dem, desto nemmere er de at opfange med et Gmail-filter, før de rammer en medarbejders mus eller finger. Nedenfor finder du de mest udbredte mønstre - med konkrete eksempler, som du kan omsætte direkte til filtrerings­regler.

1. Brand-impersonering
   Angribere udnytter den tillid, vi har til velkendte tjenester:
   • MitID / NemID: “Din konto er spærret - genaktiver med det samme”
   • e-Boks: “Der er post til dig” med krævet login via falsk side
   • PostNord / GLS / DHL: “Pakke leveringsgebyr mangler betaling”
   • Banker: “Din Netbank er midlertidigt blokeret”
   • Microsoft 365 / Apple ID / Google: “Unormal aktivitet registreret”
   Fælles kendetegn er stavefejl, reply-to-adresser på gratis domæner og links, der ligner officielle URL’er, men peger på obscure TLD’er (.click, .monster, .app osv.).
2. Falske fakturaer og leveringsbeskeder
   Regninger på små beløb (typisk 400-900 kr.) eller “toldgebyrer” på 18-36 kr. Lokker modtageren til at åbne en vedhæftet PDF/ZIP eller til at taste kortoplysninger. Er ofte sendt fra kompromitterede private konti for at omgå spamfiltre.
3. Vedhæftede HTML-, ZIP- og andre arkivfiler
   HTML-filer fungerer som indlejrede login-sider, der stjæler legitimationsoplysninger. ZIP/RAR/ISO kan indeholde makro-fyldte Office-filer eller ren malware. Kig efter emnelinjer som:
   • “Scan_032722.doc.html”
   • “Invoice-0423-257.zip”
   • “PO-0912-REVISED.iso”
   Næsten ingen legitime danske virksomheder sender HTML som vedhæftning, så et filter på filename:(.html OR .htm) giver få falske positiver.
4. Haster- og pengepres
   Taktikken kaldes “urgency & scarcity”: “Betal inden for 2 timer”, “Din konto lukkes i nat”, “Ledelsen afventer din betaling”. Ofte kombineret med spoofede chefnavne eller kundereferencer fundet på LinkedIn. Filtrer på nøgleord som haste, pres, straks, overtid, gaverkort i kombination med eksterne afsendere.
5. Domæne-lookalikes (homograf & punycode)
   En klassiker er at udskifte ét bogstav med et visuelt tilsvarende tegn:

   Legitim URL	Phishing URL	Bemærk
   postnord.dk	postnоrd.dk	‘o’ er kyrillisk
   danskerbank.dk	daпskebank.dk	‘n’ er kyrillisk
   mitid.dk	xn--mitd-9ra.dk	Punycode

   I Gmail kan du fange mange af dem ved at filtrere på subject:(xn--) eller søge efter usædvanlige TLD’er (.ru, .xyz, .top m.fl.).

Ved systematisk at identificere disse mønstre kan du skabe snævre filterregler, der rammer præcist - uden at genuine mails forsvinder. Brug næste afsnit som guide til at omsætte hvert af de ovenstående scenarier til et konkret Gmail-filter.

Inden du kaster dig ud i at masse-oprette avancerede filtre, er det afgørende at lægge et solidt fundament. Følg tjeklisten nedenfor, så du ikke bygger sikkerhed på et usikkert udgangspunkt.

1. Skru op for den basale konto-sikkerhed

1. Aktivér totrinsbekræftelse (2FA)
   Hvis du ikke allerede har gjort det, så gå til Google-konto > Sikkerhed > Totrinsbekræftelse og vælg enten Google-prompt eller en hardware-nøgle (FIDO2). 2FA reducerer risikoen for kompromittering med over 90 %.
2. Kør Googles Sikkerhedstjek
   Besøg security-checkup-siden. Her får du et hurtigt overblik over:
   • Indloggede enheder og inaktive sessions
   • Tredjepartsapps med adgang til Gmail
   • Databrud, hvor din e-mail er lækket
   Ryd op, hvis du ser noget mistænkeligt.

2. Ryd op i gamle filtre og labels

Gamle eller overlappende filtre kan konflikte med de nye regler, du er ved at oprette.

• Gå til Indstillinger > Filtre og blokerede adresser og slet/arkivér ubrugte filtre.
• Tjek også Labels - hvis du har dubletter som Spam/Phishing og Mistænkelig, så konsolider dem.

3. Fastlæg en filterstrategi, der minimerer falske positiver

4. Dokumentér og evaluer løbende

• Gem en kopi af dine filtre i et simpelt Google Sheet med kolonnerne Kriterie, Handling, Dato, Seneste justering.
• Sæt en månedlig kalenderpåmindelse til at gennemgå: Hvor mange mails blev fanget? Var der falske positiver?

Følger du disse trin, står du stærkt, når vi i næste afsnit dykker ned i de konkrete 11 filtre, der kan give phishing-mails det kolde gys.

Gmail-filtre bygges i to trin: søgekriterium + handling. Får du første del rigtigt, slipper du for falske positiver; får du anden del rigtigt, sparer du tid og risiko. Nedenfor gennemgår vi processen både i web-udgaven og i Gmail-appen.

1. Åbn søgefeltet
   Klik på den lille pil i højre side af søgefeltet - eller brug genvejen / efterfulgt af Shift + Enter.
2. Angiv søgekriterier
   Brug felterne Fra, Til, Emne, Indeholder ordene, Har vedhæftning osv. Eksempler:
   
   • from:(*@xn--*) - mistænkelige homograf-domæner
   • subject:(“Din konto er låst” OR “Account suspended”)
   • filename:(html OR htm) og has:attachment
3. Test søgningen
   Klik på Søg. Tjek om alle resultater faktisk er phishing. Justér indtil du har 0 falske positiver.
4. Opret filteret
   Klik igen på pilen → vælg Opret filter. Vinduet Vælg handling vises.
5. Vælg én eller flere handlinger
   De mest populære er:
   • Anvend mærke: fx “Mistænkelig”. Hold indbakken ren men bevar mails til senere review.
   • Spring Indbakken over (Arkivér): godt til støj, men kræver at du husker at tjekke label.
   • Marker som ikke vigtig: undgår at Gmail lægger mailen i kategorien Vigtig.
   • Videresend til din sikkerhedsadresse (fx [email protected]) for central logging.
6. Anvend filteret bagudrettet - med omtanke
   Sæt et flueben i “Anvend også filteret på X matchende samtaler”, men kun når du er 100 % sikker. Start hellere uden, og flyt senere manuelt de gamle mails med Shift + A (arkivér) eller etiketter.

1. Åbn burger-menuen ≡ → Indstillinger → Din konto → Filtre & blokerede adresser.
   Funktionen er lidt gemt og kræver ofte seneste app-version.
2. Tryk på “+” eller “Tilføj filter”.
3. Udfyld felterne (samme logik som web). På mobil kan du skrive søgeoperatoren direkte i “Matcher”-feltet, fx:
   has:attachment filename:(zip OR rar OR iso)
4. Test med “Forhåndsvis resultater”.
   Godkend først, når ingen legitime mails vises.
5. Vælg handling
   De mobile muligheder er færre; du kan dog stadig:
   
   • Tilføje/rette Etiket
   • Sætte Arkivér som standard
   • Aktivere Spring notifikationer over

• Start blidt: Mærk + arkivér først. Skift til sletning, når du har en måneds data uden fejl.
• Tilføj hvide-lister med -from:([email protected]) i samme søgefelt. Minimerer driftsstop.
• Hold det simpelt: Ét filter per phishing-kategori er lettere at debugge end ét kæmpe filter.
• Revider kvartalsvis: Nye domæner og trusselsbilleder dukker op hele tiden.

Når du har styr på skabelonen, tager det under ét minut at bygge et nyt filter. Kombinér flere små filtre, overvåg “Mistænkelig”-labelen, og justér løbende - så bliver Gmail et langt mere robust værn mod phishing.

1. Vedhæftede html-filer - Stop falske login-sider

   Phishere elsker .htm/.html-filer, der åbner en kopi af din banks eller MitID’s loginside.

   Filter-søgestreng	has:attachment filename:(.htm OR .html)
   Anbefalet handling	Tilføj label Mistænkelig, Spring indbakke over (Arkivér), markér Ikke vigtig.
   Undtagelser	Tilføj “Undtag”-feltet from:(*@virksom-partner.dk) hvis du modtager legitime HTML-rapporter.

2. Zip/rar/iso & eksekverbare filer - Malware i forklædning

   Filter-søgestreng	has:attachment filename:(.zip OR .rar OR .iso OR .exe OR .js OR .vbs OR .scr)
   Anbefalet handling	Label Mistænkelig + Arkivér. Overvej også Videresend til en sikkerhedsadresse.
   Undtagelser	Tilføj from:(*@trusted-3dprint.dk) m.fl., hvis du skal have ZIP-filer fra bestemte partnere.

3. Konto-låst? - Fang panik-emner om bekræftelse & nulstilling

   Filter-søgestreng	subject:("din konto" OR "kontoen" OR "låst" OR "suspended" OR "bekræft" OR "nulstil adgangskode" OR "opdater betaling")
   Anbefalet handling	Label Mistænkelig, Markér som læst.
   Undtagelser	Eksempel: -from:(*@netflix.com) hvis du vil tillade de ægte “opdater betaling” fra Netflix.

4. Leveringssvindel - Postnord/gls/dhl

   Filter-søgestreng	subject:(PostNord OR GLS OR DHL OR "din pakke" OR "levering")
   Anbefalet handling	Label Mistænkelig, Arkivér.
   Undtagelser	-from:(*@postnord.com *@gls-denmark.com *@dhl.com)

5. Faktura eller kvittering - Uden kontekst

   Filter-søgestreng	subject:(faktura OR kvittering OR invoice) has:attachment
   Anbefalet handling	Label Regnskab?, Sæt på pause i “Spring indbakke over”.
   Undtagelser	Whitelist jeres ERP-system: -from:[email protected].

6. Brand-impersonering - Paypal, apple id, mitid, e-boks …

   Filter-søgestreng	from:(paypal OR "apple id" OR mitid OR eboks) + -from:(*@paypal.com *@apple.com *@digst.dk *@eboks.dk)
   Anbefalet handling	Label Mistænkelig og Arkivér.
   Undtagelser	Whitelist domæner som ovenfor eller endnu bedre: fra-adresser I selv definerer.

7. Spear-phishing mod ledelsen - Ceo fraud

   Filter-søgestreng	subject:("Jane Jensen") -from:(*@jeres-domæne.dk)
   Anbefalet handling	Label CEO-Check, Videresend til IT.
   Undtagelser	Hvis ledelsen også skriver fra private domæner, så brug i stedet from:(*@gmail.com) og whisker.

8. Punycode/homograf-links - “xn--”

   Filter-søgestreng	"xn--"
   Anbefalet handling	Label Punycode, Markér som læst.
   Undtagelser	Meget sjældent nødvendigt - men du kan tilføje -from:(*@gov.dk) hvis myndigheder bruger internationale domæner.

9. Mistænkelige google drive/docs-delingsemails

   Filter-søgestreng	from:[email protected] -from:(*@jeres-domæne.dk)
   Anbefalet handling	Label Mistænkelig, Arkivér.
   Undtagelser	Whitelist betroede kunder: -from:(*@kundedomain.dk)

10. Usædvanlige topdomæner - .ru, .xyz, .top …

    Filter-søgestreng	from:(*.ru OR *.xyz OR *.top OR *.club OR *.click)
    Anbefalet handling	Label Mistænkelig, Arkivér.
    Undtagelser	Har du partnere på et af domænerne? Tilføj fx -from:(*@partner.ru).

11. “http://”-links eller generiske link-forkortere

    Filter-søgestreng	"http://" OR "bit.ly" OR "tinyurl.com" OR "t.co" OR "goo.gl"
    Anbefalet handling	Label Mistænkelig, Markér som læst.
    Undtagelser	Whitelist marketingværktøjer, fx -from:(*@mailchimp.com).

Tip: Når du opretter filtrene i Gmail, klik først på “Søg” for at sikre, at du kun rammer de mails, du vil fange. Brug derefter “Opret filter” > vælg handlinger > marker Anvend også på xx matchende samtaler kun hvis du er tryg ved resultatet.

Et filter er kun så godt som det tilsyn, du giver det. Uden løbende vedligeholdelse risikerer du enten, at legitime mails forsvinder, eller at nye phishing-metoder glider igennem nåleøjet. Nedenfor finder du en praktisk drejebog til at holde dine Gmail-filtre skarpe - både som privatbruger og som Google Workspace-administrator.

1. Overvågning af falske positiver og ‑negativer

1. Brug labels til statistik
   Alle de filtre, vi har beskrevet, tilføjer automatisk etiketten Mistænkelig. Søg jævnligt på:
   label:Mistænkelig in:inbox (burde være ≈ 0) og
   label:Mistænkelig -in:trash -in:spam (viser alt, der er fanget, men ikke slettet).
2. Gem brugerdefinerede søgninger som “Quick Links”
   Aktiver Gmail-tilføjelsen Hurtige links (i Labs > Avanceret), så du kun behøver ét klik for at se seneste hits.
3. Hold øje med udeblevne mails
   Hvis en mail forventes inden for X minutter, men ikke dukker op, søg straks i Alle mails eller Spam - det er den nemmeste måde at spotte et filtreringsproblem før skaden er sket.

2. Finjustering af søgekriterier og undtagelser

• Tjek afsenders reelle adresse
  Ofte skal du blot udvide søgningen fra From:PostNord til From:(PostNord OR [email protected]) for at reducere falske positiver.
• Udvid med domæne-whitelist
  For brands, du har tillid til, kan du tilføje -from:@pålideligt-domæne.dk i filteret.
• Shortcuts til hurtig fejlsøgning
  • larger:5m (store vedhæftede phish)  •  filename:(.html .htm)  •  has:nouserlabels (mails uden labels, der bør fanges).

3. Opsæt rapportering og notifikationer

^*Kræver Workspace Enterprise Standard/Plus.

4. Workspace-administratorens værktøjskasse

• Delte filter-skabeloner
  Brug GAM eller GAMADV-X til masseudrulning:
  gam csv filters.csv gam user "~User" add filter ...
• Indgående routing & karantæne
  Opret Content compliance-regler med RegEx for f.eks. punycode (xn--) og send til karantæne i stedet for slutbrugers spammappe.
• Sikkerhedsbanner
  Aktivér “Ekstern afsender”-banneret, og tilpas teksten via Indholdspolicy. Det reducerer spear-phishing mod ledelsen.
• Post-delivery beskeder
  Opsæt en regel der tilføjer header X-GPhish-Flag: true. SIEM-systemet kan derefter udløse alarmer.

5. Månedlig tjekliste

1. Gennemgå label:Mistænkelig - stemmer hits med forventning?
2. Opdater whitelist med nye samarbejdspartnere.
3. Check nye topdomæner på trend-lister (.zip, .mov, .bazaar).
4. Ryd op i forældede filtre eller overlappende kriterier.
5. Kør Googles Sikkerhedstjek for alle brugere.
6. Test et tilfældigt phishing-simulerings-scenarie og mål brugerreaktion.

6. Eskalationsvej - Hvis skaden sker

Skulle en phishing-mail alligevel slippe igennem og føre til kompromittering, så følg denne rækkefølge:

1. Nulstil adgangskode & tvangslog ud via Admin Console.
2. Fjern uautoriserede sessions og OAuth-tokens (Sikkerhedscenter > OAuth rapport).
3. Gennemgå filtresniffer - angribere tilføjer ofte auto-videresendelse til egen adresse.
4. Undersøg postkassen for “mark as read”-regler + auto-slet.
5. Indsend hændelsen til DK-CERT eller bankens e-mail-sikkerhed, hvis finansielle data er involveret.
6. Kommunikér internt - læring deles hurtigst muligt til at forbedre filtrene.

Med en fast rytme for vedligeholdelse, klar fejlsøgnings-metode og tydelige næste skridt, vil dine 11 Gmail-filtre fortsat give maksimal beskyttelse - uden at stå i vejen for legitime mails.